Мир наживы и киберчистогана
Технологии
Мир киберпреступности за последнее десятилетие превратился в отдельную индустрию. Эта сила противостоит легальным процессам, влияя как на отдельные рынки, так и на глобальную экономику в целом. Это больше не хаотичные, разрозненные группы и хакеры — это организованная и живущая по своим законам отрасль киберпреступности.
Потери отдельных компаний и целых стран, к которым привели действия киберпреступников, насчитывают миллиарды долларов. Финансовая индустрия по понятным причинам наиболее привлекательная жертва мошенников, черных хакеров и прочих специалистов, живущих за пределами общепринятых этических норм и законов. Часто в их рядах наши соотечественники. По оценке "Лаборатории Касперского", в период с 2012 по 2015 год правоохранительными органами разных стран (включая США, Россию, Белоруссию, Украину и страны Евросоюза) было арестовано более 160 русскоговорящих киберпреступников, входивших в состав групп по всему миру, которые занимались хищением денежных средств с помощью вредоносного ПО. Совокупный ущерб от их деятельности превышает $790 млн. Из этой суммы около $280 млн было украдено преступниками в странах бывшего Советского Союза. "Разумеется, эта цифра учитывает лишь подтвержденный ущерб, информация о котором была получена правоохранительными органами в ходе следственных мероприятий. В реальности киберпреступниками могли быть украдены значительно большие суммы",— добавляет Сергей Ложкин, ведущий антивирусный эксперт "Лаборатории Касперского". Многие истории остаются неизвестными широкой общественности. По данным компании, за последний год жертвой того или иного киберинцидента стала практически каждая российская организация. Средний ущерб только от одного инцидента среди российских компаний, по данным свежего опроса "Лаборатории Касперского", составил для крупных организаций 11 млн руб., для среднего и малого бизнеса — 1,6 млн руб.
В книге "Смерть интернета" Маркуса Якобсона в главе, посвященной изучению психологии злоумышленников, наш соотечественник Игорь Булавко объясняет, почему в рядах киберпреступников так много выходцев из стран бывшего СССР. Одна из главных причин — набор предубеждений против капиталистических ценностей и стремление к справедливости, выражающееся в "робингудстве": сверхдоходы западных стран, по мнению представителей киберкриминала, необходимо перераспределить. Не все злоумышленники придерживаются такой идеологии, но в той или иной степени действия каждого из них имеют разрушительные последствия для глобальной экономики и рынков отдельных стран.
Василий Дягилев, глава представительства компании Check Point Software Technologies в России и СНГ, рассказывает: "Основные убытки приносят махинации в финансовой сфере и простой тех или иных систем, которые выведены хакерами из строя. Ущерб от действий хакеров может распространяться на целые страны. Мы уже видели пример, как из-за хакеров меняется курс национальной валюты, как было в результате атаки на один из российских банков в 2015 году. Злоумышленники сломали систему, посылающую заявки для торговли на валютной бирже, разместили заявку на очень большое количество валюты — это привело к скачку курса рубля. Конечно, впоследствии ситуация выправилась, однако такие случаи становятся нашей реальностью".
Но речь идет не только о финансовых и репутационных потерях, которые иногда уничтожают бизнес отдельных компаний подчистую. Есть угрозы и более серьезные, связанные с физической безопасностью людей. Давайте представим, что, как в голливудском триллере, некий злобный хакер взял под контроль управление всеми железными дорогами. К сожалению, такой сценарий уже сегодня вполне реален. Эксперты из группы SCADA StrangeLove изучили систему защиты поездов SIBAS, которая широко распространена в странах Европы. Результаты оказались тревожными. Обнаружилось несколько уязвимостей, которые позволяют управлять устройствами без аутентификации и создавать хакерские инструменты для дистанционного контроля над оборудованием. Серьезная уязвимость обнаружилась в системе, отвечающей за распределение маршрутов поездов. Если хакеры получат доступ к этому программному обеспечению, они смогут физически переключить стрелку на рельсах и пустить поезд по ложному маршруту. Последствия этой ситуации могут быть весьма серьезными.
В эпоху подключения всего к интернету самой страшной угрозой ближайших лет становятся именно атаки на критически важную инфраструктуру. Сергей Петров, член правления корпорации "Галактика", рассказывает, что кибератаки на промышленные объекты становятся все популярнее в связи с растущим уровнем автоматизации процессов. "Как правило, корпоративный сегмент основное внимание уделяет сохранности конфиденциальных данных, а обеспечение бесперебойной работы уходит на второй план. В этом главное отличие от промышленных предприятий, где цена минуты простоя, как и любой ошибки, очень велика. Если раньше физической изоляции между производственными системами и внешними сетями хватало для хорошего уровня защиты, то теперь этого недостаточно. Это же касается транспортного сектора, энергетических и телекоммуникационных компаний, поскольку все эти предприятия все больше зависят от автоматики, робототехники, цифровых сетей и взаимозависимых устройств",— объясняет он.
Широкое проникновение в работу предприятий облачных вычислений, систем бизнес-аналитики и интернета вещей приводит к сращиванию информационных и операционных технологий, что потенциально предоставляет злоумышленникам доступ к компонентам систем и критически важным процессам. Кибератаки связаны с большими репутационными рисками и приводят к ухудшению финансовых показателей компании, краже интеллектуальной собственности, потере конкурентных преимуществ, а на национальном уровне — к ослаблению экономики страны. "Важным моментом является и тот факт, что большинство используемой техники и софта в России — это продукты зарубежных корпораций. Сегодня большинство промышленных предприятий не осознают этих рисков, а тем временем в иностранных ИТ-системах обнаруживаются все новые уязвимости, которыми пользуются злоумышленники",— добавляет Сергей Петров.
По прогнозам "Лаборатории Касперского", в ближайшие годы наиболее опасными видами киберпреступного бизнеса будут DDoS-атаки и троянские программы-шифровальщики, вымогающие деньги за расшифровку. Это основные сервисы, которые сейчас предлагаются в русскоязычной киберпреступной экосистеме. Также начинает развиваться сфера промышленного шпионажа и "конкурентной" разведки, когда основной целью преступников становятся не деньги компании, а ценная информация, такая как контракты, деловая переписка и т. п.
По словам Александра Лямина, основателя и руководителя Qrator Labs (предоставляет облачный сервис для защиты от DDoS-атак), кибератаки становятся все более сложными. Часто злоумышленники комбинируют разные средства, чтобы достичь желаемого. Например, отвлекают внимание специалистов компании с помощью DDoS-атаки, в то время как производится взлом веб-приложений. При этом сами по себе DDoS-атаки, приводящие к полной или частичной недоступности интернет-ресурса,— весьма популярный инструмент вымогателей и неэтичных конкурентов. "Организовать такое нападение стоит сегодня от $5 в сутки. В черном интернете можно скачать множество уже готовых к использованию инструментов для DDoS-атак, которыми способен воспользоваться даже школьник. Поэтому популярность метода растет с каждым годом на 25-50%. А в эпоху интернета вещей мы увидим в действии гигантские ботнеты, когда атака будет исходить из каждого умного, но слабозащищенного чайника",— говорит Александр Лямин.
В качестве примера эксперт приводит атаку на сайт KrebbsOnSecurity, освещающий вопросы кибербезопасности. Вечером 20 сентября на ресурс обрушилось цунами из мусорного трафика со скоростью 665 Гб/сек. (предыдущий рекорд — 363 Гбит/сек). Ресурс удалось защитить с помощью спецсредств Akamai. Эксперты этой компании рассказали, что гигантский ботнет был создан с помощью взломанных IoT-устройств: роутеров, веб-камер, видеорегистраторов, подключенных к интернету и защищенных слабыми паролями. Атака исходила буквально отовсюду.
Сила противодействия
Апокалиптические картины будущего, которые рисуют эксперты, начинают постепенно сбываться. Кибепреступность стала организованным черным рынком, противостоять которому можно только слаженными системными усилиями разных стран.
Андрей Заикин, руководитель направления информационной безопасности компании КРОК, говорит, что для противодействия этой глобальной угрозе используется специализированный класс решений по борьбе с направленными атаками (AntiAPT). Но чтобы обеспечить оптимальный уровень информационной безопасности в корпоративном секторе, нужно предусмотреть целый комплекс мер, который включает в себя также сетевую безопасность, обеспечение защиты приложений (включая АСУ ТП для производственных предприятий), проведение тестирований на проникновение (pentest), повышение осведомленности персонала о рисках и способах их нивелирования и пр. Такими, казалось бы, элементарными вещами, как своевременное обновление программного обеспечения и антивирусов, тоже нельзя пренебрегать. Михал Салат, ведущий вирусный аналитик Avast Software, рекомендует "джентельменский набор" для защиты госкомпаний и бизнеса, состоящий из нескольких уровней, включающих антивирус, брандмауэр, систему обнаружения вторжений. По его словам, также важно регулярно обновлять встроенные программы и ПО, предоставлять работникам соответствующие права доступа на пользование.
Сергей Ложкин отмечает, что в России есть ряд сложностей, возникающих при расследовании инцидентов: "Прежде всего это слабое законодательство, регулирующее высокотехнологичные преступления. В США компании обязаны сообщать об атаках на их ИТ-инфраструктуру, это регулируется законом. В России компании, наоборот, предпочитают замалчивать инциденты, поскольку опасаются потерь для репутации". В РФ тяжело доказать сам факт киберпреступления, в основном подобные действия подпадают под статьи 272 и 273 — это статьи небольшой тяжести с максимальным наказанием до семи лет заключения. В следственных органах, к компетенции которых относится расследование компьютерных преступлений, нет специальных подразделений и специалистов, обладающих глубокими техническими знаниями. "В России до сих пор во многих организациях действует так называемая бумажная безопасность: мы имеем огромное количество правил, которые регулярно обновляются, но при этом плохо работают на практике. Тогда как на Западе правил как таковых нет, но организация обязана сделать все возможное, чтобы сохранить безопасность данных своих клиентов. Если данные утекли, организация будет наказана",— объясняет эксперт.
"Многие государства, включая РФ, принимают так называемые доктрины кибербезопасности или киберстратегии. Это делается, чтобы урегулировать направление развития безопасности. Государство создает специальные подразделения, которые в разных ведомствах занимаются анализом специфического направления угроз. Такое подразделение есть, например, в Центральном банке. Государство делает много, но все-таки недостаточно, так что понимание опасности должно исходить именно от руководителей бизнеса, которые и принимают решение об уровне защиты данных",— добавляет Василий Дягилев.
Борис Симис, заместитель генерального директора Positive Technologies по развитию бизнеса, рассказывает, что во многих странах есть отдельный представитель власти, отвечающий за информационную безопасность. В США KPI такого "главного по кибербезопасности" исчисляется в числе прочего и объемом онлайн-платежей. Почему? Когда кибербезопасность ниже среднего уровня, люди просто перестают пользоваться интернет-платежами. "У нас эти задачи распределены между различными ведомствами и нет прозрачности в разделении полномочий между ведомствами в части ИБ",— говорит эксперт.
Человеческий фактор — основная причина проблем, связанных с ИБ. Решить ее можно только одним способом — проводя образовательные инициативы, приучая людей к осторожности. Борис Симис рассказывает, что в США и Австралии есть для этого ежегодные "кибермесяцы" (и открывает их глава государства), во время которых проводят специальные образовательные кампании на всех уровнях: от детских учебных заведений до госструктур и медиа. Страны Европы это тоже делают, но, как говорит эксперт, скорее будто "для галочки". В России таких государственных инициатив нет совсем.